Удалил троян. Есть ли RootKIT ?

Printable View

10.04.2011, 19:11
serjga

Удалил троян. Есть ли RootKIT ?

Доброго ВАМ здоровья!
Процессор - 90+
Осталось ли что-то после чистки?
Спасибо!
10.04.2011, 21:42
regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=57441]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('digeste.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\krgnnr.sys','');
QuarantineFile('C:\WINDOWS\Fonts\AGENCYB.EXE','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe','');
QuarantineFile('C:\WINDOWS\darum4.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\w_wF20.tmp','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\w_wF20.tmp');
DeleteFile('digeste.dll');
DeleteFile('C:\WINDOWS\system32\drivers\krgnnr.sys');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\conmgr.exe');
DeleteFile('C:\WINDOWS\Fonts\AGENCYB.EXE');
DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C635612');
DelCLSID('{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\VBRuntime','EventMessageFile');
RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\SecurityProviders','SecurityProviders');
DeleteService('abp470n5');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
AutoFixSPI;
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
[/code]

После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно [b]Приложения 3[/b] правил по красной ссылке [color=Red][u][b]Прислать запрошенный карантин[/b][/u][/color] вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])
12.04.2011, 00:31
serjga

Результат загрузки
Файл сохранён как 110411_203028_virus_4da364e4aba07.zip
Размер файла 30996
MD5 6cafaeb6f76ca34122a50581c0bc31fa
Файл закачан, спасибо!

логи следуют...
12.04.2011, 15:25
regist

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis

[CODE]R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: QT Breadcrumbs Address Bar - {af83e43c-dd2b-4787-826b-31b17dee52ed} - mscoree.dll (file missing)
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3C} - (no file)
O4 - HKCU\..\Run: [darum4] C:\WINDOWS\darum4.exe
O9 - Extra button: Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe (file missing)
O9 - Extra 'Tools' menuitem: &Download Master - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - C:\Program Files\Download Master\dmaster.exe (file missing)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)[/CODE]

+ Проведите процедуру, которая описана в первом сообщении [url=http://virusinfo.info/showthread.php?t=3519][B]тут[/B][/url]. Результат загрузки напишите в сообщении здесь.
12.04.2011, 20:58
serjga

Доброго ВАМ здоровья!
Что сейчас с логами и карантином, Уважаемые?
Спасибо!
12.04.2011, 23:00
serjga

[B]regist[/B],
странно: когда писал последнее сообщение - ВАШЕГО НЕ БЫЛО!!!
мистика.....
12.04.2011, 23:49
миднайт

В AVZ выполните скрипт:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\darum4.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','darum4');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

После перезагрузки повторите логи в полном объеме.
14.04.2011, 02:13
serjga

Есть!
14.04.2011, 07:34
polword

Отключите[B][COLOR="Red"] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] как- посмотреть можно тут[/URL]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteFile('C:\WINDOWS\Fonts\AGENCYB.EXE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [COLOR="Blue"]virusinfo_syscure.zip[/COLOR];
14.04.2011, 08:24
serjga

[QUOTE=polword;782583]Отключите[B][COLOR=Red] Системное восстановление!!![/COLOR][/B][URL="http://avptool.ru/ru/AVPTool_helpdesk_sysrestore.htm"] [/URL][/QUOTE]
ПРОСТИТЕ!!! устал...
Исправляемся....
14.04.2011, 23:33
serjga

Итак:
14.04.2011, 23:49
миднайт

похоже чисто.
15.04.2011, 06:36
serjga

[QUOTE=миднайт;782830]похоже чисто.[/QUOTE]
Скажите: я правильно понял, это был RootKIT ?
15.04.2011, 09:11
миднайт

Нет, не руткит.
[B]C:\WINDOWS\darum4.exe[/B], [B]C:\WINDOWS\Fonts\AGENCYB.EXE[/B] - [B][COLOR="Red"]Trojan.Qhost.72[/COLOR][/B] (drweb)
Это то что мы поймали.
15.04.2011, 09:29
serjga

[QUOTE=миднайт;782881][B][COLOR=Red]Trojan.Qhost.72[/COLOR][/B] (drweb)
[/QUOTE]
Интересно: в SafeMode чистили лечащим каспером: всё удалили вроде... Откуда?
Или он скрывался?
15.04.2011, 09:33
миднайт

Трудно сказать. Вам нужно обновиться.
[url=http://virusinfo.info/showthread.php?t=7239]Выполните в AVZ скрипт[/url] из файла [URL=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/URL] откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
16.04.2011, 09:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]